Υπάρχει μια νέα ευπάθεια στο WordPress plugin Ninja Forms που επηρεάζει όλες τις εκδόσεις έως και την 3.6.3. Η ευπάθεια επιτρέπει SQL injection, που δίνουν στον επιτιθέμενο πρόσβαση να τρέξει ερωτήματα στην βάση δεδομένων μέσω των κενών πεδίων της φόρμας.
Ο προγραμματιστής του πρόσθετου κυκλοφόρησε την έκδοση 3.6.4 πριν από δύο ημέρες.
Το πρόσθετο Ninja Forms επιτρέπει τη σχεδίαση φορμών σε ιστότοπους WordPress και αυτή την στιγμή έχει περισσότερες από 1 εκατομμύριο ενεργές εγκαταστάσεις. Ωστόσο, στο συγκεκριμένο plugin ανακαλύπτονται συχνά ευπάθειες, όπως αυτή που αναφέρθηκε στις 22 Σεπτεμβρίου του 2021 από την WordFence. Η νέα ευπάθεια υποτίθεται ότι έχει έχει επιδιορθωθεί με την έκδοση 3.6.4, χωρίς να αποκαλυφθούν περισσότερες λεπτομέρειες.
Προς το παρόν δεν υπάρχει λεπτομερής περιγραφή του τρόπου με τον οποίο θα μπορούσε να γίνει exploit αυτή η ευπάθεια που έχει σαν αναγνωριστικό το CVE-2021-24889. Όμως στις 4 Νοεμβρίου, οι προγραμματιστές σχεδιάζουν να δημοσιεύσουν ένα PoC που το δείχνει αυτό.
Για την ιστορία η ευπάθεια στο Ninja Forms plugin που αναφέρθηκε στα τέλη Σεπτεμβρίου αφορούσε μη προστατευμένα αιτήματα μέσω του REST API, κάτι που επέτρεπε στους εισβολείς να κάνουν skim off ευαίσθητα δεδομένα ή να πραγματοποιούν email injections.
